风险评估介绍及工作流程、注意事项

目录

• 阶段1:准备阶段
• 阶段2：识别阶段
  • 资产识别
    • 资产定义
  • 威胁识别
    • 威胁定义
  • 脆弱性识别
    • 脆弱性评估
    • 脆弱性分类
  • 已有安全措施的确认
• 阶段三：分析阶段
  • 资产分析
  • 威胁赋值
    • 威胁的种类
  • 脆弱性赋值
  • 综合风险分析。
    • 风险的计算
    • 风险等级的划分
• 阶段四：规划和验收阶段
  • 控制措施的选择
  • 残余风险的评价
  • 验收

风险评估是对某一个系统、资产进行安全风险评估的过程
风险评估流程分为4个阶段

阶段1:准备阶段

对信息系统风险评估项目目标、范围、项目交付文件、项目实施方案、工作方式、评估成果提交形式讨论确定。形成完整的《风险评估实施方案》

阶段2：识别阶段

资产识别

资产定义

资产 是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。通常信息资产的保密性、完整性和可用性是公认的能够反映资产安全特性的三个要素。

威胁识别

威胁定义

威胁识别
安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁是一个客观存在的事物，它是风险评估的重要因素之一。
产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种。环境因素包括自然界的不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在保密性、完整性或可用性等方面造成损害。也可能是偶发的、或蓄意的事件。一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时，由于未能造成后果，或者没有意识到，而被安全管理人员忽略。这将导致对安全威胁的认识出现偏差。
在威胁评估过程中，首先就要对组织需要保护的每一项关键资产进行威胁识别。在威胁识别过程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。

脆弱性识别

脆弱性评估

也称为弱点评估，是安全风险评估中重要的内容。弱点是资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。
弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
值得注意的是，弱点虽然是资产本身固有的，但它本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。所以如果没有相应的威胁发生，单纯的弱点并不会对资产造成损害。那些没有安全威胁的弱点可以不需要实施安全保护措施，但它们必须记录下来以确保当环境、条件有所变化时能随之加以改变。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。
脆弱性评估所采用的方法主要为：问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。

脆弱性分类

脆弱性主要从技术和管理两个方面进行评估，涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题。其中在技术方面主要是通过远程和本地两种方式进行系统扫描、对网络设备和主机等进行人工抽查，以保证技术脆弱性评估的全面性和有效性；管理脆弱性评估方面可以按照BS 7799等标准的安全管理要求对现有的安全管理制度及其执行情况进行检查，发现其中的管理漏洞和不足。

已有安全措施的确认

机构应对已采取的控制措施进行识别并对控制措施的有效性进行确认，将有效的安全控制措施继续保持，以避免不必要的工作和费用，防止控制措施的重复实施。对于那些确认为不适当的控制应核查是否应被取消，或者用更合适的控制代替。安全控制可以分为预防性控制措施和保护性控制措施（如业务持续性计划、商业保险等）两种，预防性控制措施可以降低威胁发生的可能性和减少安全脆弱性，而保护性控制措施可以减少因威胁发生所造成的影响
。

阶段三：分析阶段

分析被评估信息系统及其关键资产在遭受泄密、中断、损害等破坏时对系统所承载的业务系统所产生的影响，并进行赋值量化。

资产分析

资产估价 的过程也就是对资产保密性、完整性和可用性影响分析的过程。影响就是由人为或突发性引起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及信息系统并使其丧失保密性、完整性和可用性，最终还会导致财政损失、市场份额或公司形象的损失。特别重要的是，即使每一次影响引起的损失并不大，但长期积累的众多意外事件的影响总和则可造成严重损失。一般情况下，影响主要从以下几方面来考虑：

1、违反了有关法律和规章制度
2、对法律实施造成了负面影响
3、影响了业务的执行

4、违反了社会公共准则
5、危害了公共安全

6、侵犯了商业机密
7、破坏了业务活动
8、造成了经济损失
9、造成了信誉、盛誉损失

10、侵犯了个人隐私
11、造成了人身伤害

由于资产最终价值的等级评估是依据资产保密性、完整性、可用性的赋值级别，经过综合评定得出的，评定准则可以根据企业自身的特点，选择以安全三性中要求最高的一性的赋值级别为综合资产赋值准则，也可以三性的综合评定为准则。因此，在进行资产评估时，评估者应首先根据被评估系统的实际情况建立一套资产估价准则，使得整个资产的评估工作有一个统一的标准。
评估者也可以根据被评估系统的实际情况自定义资产的等级。\

威胁赋值

评估确定威胁发生的可能性是威胁评估阶段的重要工作，评估者应根据经验和（或）有关的统计数据来判断威胁发生的频率或者发生的概率。其中，威胁发生的可能性受下列因素影响：
（1）资产的吸引力；
（2）资产转化成报酬的容易程度；
（3）威胁的技术力量；
（4）脆弱性被利用的难易程度。
（1)通过过去的安全事件报告或记录，统计各种发生过的威胁和其发生频率；
（2)通过IDS系统获取的威胁发生数据的统计和分析，各种日志中威胁发生的数据的统计和分析；
（3)国际机构发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。\

威胁的种类

1、软硬件故障
2、物理环境威胁
3、物理攻击
4、管理不到位

5、操作失误或无作为
6、越权或滥用
7、泄密
8、篡改
9、抵赖

10、黑客攻击技术
11、恶意代码病毒

威胁的评估就是综合了威胁来源和种类后得到的威胁列表，并对列表中的威胁发生可能性的评估。最终威胁的赋值采用定性的相对等级的方式。威胁的等级划分为五级，从1到5分别代表五个级别的威胁发生可能性。等级数值越大，威胁发生的可能性越大。具体每一级别的威胁可能性定义参见表8。
评估者也可以根据被评估系统的实际情况自定义威胁的等级。

脆弱性赋值

脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁可能利用的脆弱性，并对脆弱性的严重程度进行评估，换句话说，就是对脆弱性被威胁利用的可能性进行评估。最终脆弱性的赋值采用定性的相对等级的方式。脆弱性的等级建议划分为五级，从1到5分别代表五个级别的某种资产脆弱程度。等级越大，脆弱程度越高。

综合风险分析。

风险的计算

（1）对资产的重要性进行识别；
（2) 对资产的脆弱性进行识别；
（3) 针对每一个弱点，识别可能利用此弱点造成安全事件的威胁；
（4) 分析威胁利用资产脆弱性发生安全事件的可能性；即：
安全事件发生的可能性=L(威胁，资产脆弱性)
（5) 根据资产的重要程度以及安全事件发生的可能性计算风险值，即：
风险值=R(资产重要程度，安全事件发生的可能性)\

风险等级的划分

确定风险数值的大小不是组织风险评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护。
风险等级建议从1到5划分为五级。等级越大，风险越高。评估者也可以根据被评估系统的实际情况自定义风险的等级。
机构可以采用按照风险数值排序的方法，也可以采用区间划分的方法将风险划分为不同的优先等级，这包括将可接受风险与不可接受风险的划分，接受与不可接受的界限应当考虑风险控制成本与风险（机会损失成本）的平衡。风险的等级应得到组织管理层的评审并批准\

阶段四：规划和验收阶段

控制措施的选择

机构在对风险等级进行划分后，应考虑法律法规（包括客户及相关方）的要求、机构自身的发展要求、风险评估的结果确定安全水平，对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。风险处理的方式包括：回避风险，降低风险（降低发生的可能性或减小后果），转移风险，接受风险。控制措施的选择应兼顾管理与技术，具体针对各类风险应根据组织的实际情况考虑以下十个方面的控制：

• 物理与环境安全
• 组织安全
• 人员安全、
• 安全方针
• 访问控制
• 资产的分类与控制、
• 通讯与运作管理、
• 业务持续性管理
• 系统的开发与维护、
• 符合性。

在风险处理方式及控制措施的选择上，机构应考虑发展战略、企业文化、人员素质，并特别关注成本与风险的平衡，以处理安全风险以满足法律法规及相关方的要求，管理性与技术性的措施均可以降低风险。

残余风险的评价

对于不可接受范围内的风险，应在选择了适当的控制措施后，对残余风险进行评价，判定风险是否已经降低到可接受的水平，为风险管理提供输入。残余风险的评价可以依据组织风险评估的准则进行，考虑选择的控制措施和已有的控制措施对于威胁发生的可能性的降低。某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内，应通过管理层依据风险接受的原则，考虑是否接受此类风险或增加控制措施。为确保所选择控制措施的有效性，必要时可进行再评估，以判断实施控制措施后的残余风险是否是可被接受的。

验收

客户达成安全成果共识，项目验收

工作具体事宜

• 1.信息收集：向客户了解每个系统运行所需要的服务器（包括评估范围内的所有应用服务器、数据库服务器、备份服务器等）、网络设备（包括评估范围内的所有路由器、交换机、防火墙等设备）、人员和管理的名称、型号、运行的操作系统、数据库版本型号、中间件类型、网络ip及其他说明信息，并将其汇总到《资产统计列表》中。

• 2.基线核查：根据 《资产统计列表》中每个系统收集到的信息，核查其物理环境、主机系统、中间件、数据库和网络设备（包括评估范围内的所有路由器、交换机、防火墙等设备）并做相应记录。

• 3.主机漏扫：使用nessus工具对每个系统中的主机进行端口、进阶扫描并记录重大高危风险项。

• 4.网站渗透：使用 appscan工具对系统运行的网站进行漏洞扫描，发现风险之后对其进行手工验证，若风险真实存在，则记录其验证过程。

• 5.风险评估汇总：对每个系统的硬件（主机、物理、网络）、软件（中间件、数据库）、人员、数据、应用、管理和渗透中发现的脆弱性进行威胁分类，并计算其风险值与风险等级。

• 6.风险评估报告：对于系统的评估范围、物理环境、网络结构、业务系统和管理现状进行准确的描述。根据《资产统计列表》和《风险评估汇总表》对资产（硬件、软件、人员、数据和管理）、脆弱性、威胁进行赋值、识别与分析。对系统已有的安全有效措施描述并记录。

• 7.风险处置建议：对风险评估报告中发现的脆弱性给出相应的处置建议并做处置计划。

• 8.任务交付：编辑风险评估项目的验收会议ppt，与客户方完成项目的验收工作。